Расширенный

Межсайтовое выполнение сценариев

Межсайтовое выполнение сценариев

10 ноября 2014
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco VPN Client (4.8.0.0, 5.0(0.340))
Описание
Уязвимости межсайтового выполнения сценариев в PreSearch.html и PreSearch.class в Cisco Secure Access Control Server (ACS), VPN Client, Unified Personal Communicator, MeetingPlace, Unified MeetingPlace, Unified MeetingPlace Express, CallManager, IP Communicator, Unified Video Advantage, Unified Videoconferencing 35xx products, Unified Videoconferencing Manager, WAN Manager, Security Device Manager, Network Analysis Module (NAM), CiscoWorks и связанных с ними продуктах, Wireless LAN Solution Engine (WLSE), Wireless LAN Controllers (WLC) и Wireless Control System (WCS) позволяют злоумышленникам, действующим удаленно, внедрить произвольный сценарий или HTML-код, используя текстовое поле формы поиска.
Как исправить
Используйте рекомендации производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20070315-xss
Ссылки
BUGTRAQ (20070315 Re: XSS vulnerability in the online help system of several Cisco products): http://www.securityfocus.com/archive/1/archive/1/462944/100/0/threaded
BUGTRAQ (20070315 XSS vulnerability in the online help system of several Cisco products): http://www.securityfocus.com/archive/1/archive/1/462932/100/0/threaded
CISCO (20070315 Cross-Site Scripting Vulnerability in Online Help System): http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20070315-xss
BID (22982): http://www.securityfocus.com/bid/22982
FRSIRT (ADV-2007-0973): http://www.frsirt.com/english/advisories/2007/0973
XF (cisco-presearch-xss(33024)): http://xforce.iss.net/xforce/xfdb/33024